Vorsicht! Sober lockt mit Passwort und versucht das System zu kapern

Vorsicht! Sober lockt mit Passwort und versucht das System zu kapern

Liebe Leserin, lieber Leser,


der Wurm Sober.Q2 kommt per E-Mail und lockt mit einer ZIP-Datei,
die angeblich ein Passwort enthält. Sollten Sie eine E-Mail mit diesem Inhalt erhalten,
löschen Sie diese sofort.

Der Wurm Sober.Q2 ist verstärkt per E-Mail unterwegs.
Im Anhang enthält die E-Mail eine ZIP-Datei,
mit der Bezeichnung „pword_change.zip“,
die einen Wurm der Sober-Familie enthält.

Wird dieses ZIP-File ausgeführt,
zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text „Error in packed file“
und „CRC header must be $7ff8“.
Anschließend installiert sich der Wurm im betreffenden System.

Hier finden Sie Details zur E-Mail mit der Schadsoftware

Die E-Mail hat folgendes Aussehen

Betreff: „Your new Password“
Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“
E-Mail-Text: Your password was successfully changed!
Please see the attached file for detailed information.
Dateigröße: 113.551 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst

Folgende Einträge werden der Registry hinzugefügt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WinINet"="%WinDIR%\\ConnectionStatus\\services.exe"

Ich wünsche Ihnen ein viren- und wurmfreies System,
viel Spaß und Erfolg mit der aktuellen Ausgabe des Viren-Tickers.

Ihr

Reiner Backer, Chefredakteur


Grüße
sunny78